OVV: cyberspionnen gebruikten Citrix-lek voor aanval ministerie

Cyberspionnen van een ander land hebben begin vorig jaar geprobeerd een Nederlands ministerie te hacken. Inlichtingendienst AIVD zag op 12 en 13 januari 2020 "verdacht verkeer" en "offensieve activiteiten door een statelijke actor", meldt de Onderzoeksraad voor Veiligheid (OVV). De aanvallers maakten gebruik van een lek in de veelgebruikte software van Citrix, waarmee mensen op afstand kunnen werken. Om welk ministerie het gaat, welk land de aanval uitvoerde en hoever de hackers zijn doorgedrongen, maakt de OVV niet bekend.

Een maand voor de cyberaanval was bekend geworden dat Citrix een groot gat in de beveiliging had. Het Nationaal Cyber Security Centrum (NCSC) stuurde waarschuwingen aan bepaalde sectoren. In die periode werd duidelijk dat hackers actief zochten naar zwakke plekken.

Op 16 januari vorig jaar adviseerde het NCSC om "te overwegen Citrix-servers uit te zetten". Een dag later deelde de AIVD zijn informatie over de aanvalspoging, maar dit was staatsgeheim. Het NCSC mocht de kennis dus niet delen met het publiek. Bovendien waren AIVD en NCSC het niet met elkaar eens over de aanpak. De inlichtingendienst wilde dat het NCSC zou oproepen om alle Citrix-servers uit te zetten, NCSC wilde het houden bij een advies om een eigen afweging te maken.

Uiteindelijk werd gekozen voor de eerste mogelijkheid. Maar dat leidde juist tot verwarring, zegt de OVV, omdat het NCSC in één dag overstapte van 'overweeg uit te zetten' naar 'zet uit'.

Omdat de informatie van de AIVD staatsgeheim was, mocht het NCSC niet uitleggen waar het nieuwe advies op gebaseerd was. Drie dagen later besloot de AIVD dat de informatie niet meer staatsgeheim was. Het NCSC had de kennis toen wel dus mogen delen, maar deed dat niet. "Het NCSC was niet voldoende alert", zegt OVV-voorzitter Jeroen Dijsselbloem.